Сегодня жена кинула мне денег с нашего общего счета в ВТБ на Сбер по системе быстрых платежей на телефон. Через 15 минут ей позвонил какой то невмендрс и начал втирать, что она пыталась осуществить платеж через Swift нерезиденту (можете похихикать моя супруга не в курсах), я был рядом, слышал, сказал положить трубку и звонить в банк по горячей линии.
В банке ей сказали, что сегодня вал таких звонков и далее обычные правила безопасности, плюс отсылка на робот, который записал номер и время звонка.
Будьте осторожней.
Только в блоги
Комментарии
Мне сегодня звонили из ВТБ, хотя у меня там счетов нету.
Оператор ВТБ сказала, что звонят всем подряд, даже не клиентам. Массовый обзвон. А по тому, что жена действительно осуществила платеж, просто совпадение.
Причем звонивший мошенник, похоже даже не ожидал ответа, по словам жены, начал с чего то типа "А, чо?"
Э, нет, далеко не всегда совпадение. И здесь в комментах, и у меня среди знакомых, полно случаев, когда люди совершают перевод, или платеж, или зарплата поступает и через несколько минут подобный звоночек. Течет из ВТБ, и течет серьезно. Приходилось несколько раз бывать у них в офисе, причем в одном и том же - кадровая политика сменилась кардинально, вместо красивых холеных девушек лет десять назад, появились...не будем обижать, те, кто появились. Видимо, сильно экономят на зарплатах персонала. А отсюда и возможность "за долю малую" подкупить техспециалистов на всяческие сливы на сторону.
Может быть. Я тоже в такие совпадения не очень верю. Что массового обзвона не отменяет. Хотя массовый обзвон может быть попыткой прикрытия слива данных, как вариант.
ВТБ несомненно экономит после санкций, но мошенники часто и от Сбера звонили. Вероятно, клиенты ВТБ оказались в последнее время ан масс самыми податливыми, потому на нем мошенники и фокусируются.
Не течет, это назыаается "аутсосинг", украинские программеры самые аутсосные:)
Возможно, утечка со смартфона об смс информировании. Какое-нибудь приложение сливает полученные смски, либо ищет по шаблону.
Возможно.
Ага. Течёт от Гугла. Их алгоритмы обработки - легко отслеживаются по фильтру заданному транзакции - без расшифровки.
Например, у тебя СМС-оповещение - на этот номер. Вот тебе и звонят. А в каком месте "течёт" - где перехвачена эта СМС - только номер твой из неё взят - не найти. Так что на ВТБ не надо. Любой банк - по списку так можно. Завтра могут Сбер, и Газпром...
Из сбера мне не звонят. Из ВТБ примерно раз в неделю. И там и там есть счет. Какая-то удивительная активность
Разные способы рассылки СМС-оповещений. У ВТБ - типа сразу же, и возможно, эта часть (рассылка мгновенная СМС-оповещения движения счёта) содержит ЦИПСО-шную закладку.
Техспециалисты и девочки в офисе - это разные люди же. Думаете и спецам з/п порезали? Да и без этого - они-то лучше других знают, что можно и "залететь"
Глупость не городите. Во-первых, красивые девушки никуда не делись. Во-вторых, первая пятёрка банков на зарплатах не экономит. В-третьих, никакой массовый слив от тех.специалистов в ВТБ и Сбере невозможен чисто технически.
Да. Но это не означает что "течёт из ВТБ". Это означает что ваши персональные данные слиты, и слиты они скорей всего одним из клиентов НБКИ. Раз в год любой гражданин РФ может бесплатно получить свою кредитную историю. Для этого вам надо выяснить у кого хранится кредитная история, запросить её и посмотреть кто последний раз обращался за справкой. В подавляющем кол-ве случаев там оказываются какие-нибудь никому неизвестные коллекторы на птичьих правах или банки нижнего эшелона, с которыми вы 25 лет назад имели дело и давно о них забыли. Остальное - через обогащение.
Из кредитной истории известно какие, сколько и где счета вы имеете. Дата и даже время обычного получения вами зарплаты - тоже не секрет. Причём эти обогащаемые данные также постоянно обновляются. А вот сколько на этих счетах денег мошенники не знают, поэтому если любите с ними разговаривать не забывайте уточнять что держите там любые космические суммы которые надо брать с потолка. Это сразу приводит их в тонус и создаёт неподдельный интерес к вам. Не говоря уже о том что такая информация от "клиента" также сразу ими фиксируется.
Вот про "невозможно чисто технически" аж повеселили.
Ну а чего весёлого? Можете запомнить: невозможно чисто технически. Система так устроена. За год СБ банков первой тройки ловит N<10 своих сотрудников, преимущественно операционистов, при попытке сбора данных. Данные клиента с которым работаешь посмотреть можно. Переписать их или каким-то другим образом зафиксировать - нет. Можно запомнить в голове и выйдя из офиса записать в тетрадку, тогда - да. Достали смартфон и сфотографировали экран? Это инцидент безопасности. Банковский подход такой. Успехов в сборе базы данных с заранее известными перспективами..
Данные текут, но текут они от опсосов (куча салонов где хоть обфотографируйся) и из НБКИ, где какие-нибудь "КопытаДоЗарплаты" могут легально запросить чужую кредитную историю. Хотя, справедливости ради, последние три года уже и сотрудников опсосов начали отправлять на кичу за попытки сбора, есть прецеденты.
Послушайте, не рассказываете мне сказки. Я был руководителем проекта PCI-DSS более 5 лет. И понимаю что и где нужно защищать. Есть правило: что охраняешь, то и имеешь. Это пошло, но это так. Есть сотрудники, которые обязаны иметь доступ к клиентским данным. От них никуда не деться. Это их обязанности. И их много. И если вы думаете, что данные они проверяют только глазами - вы глубоко заблуждаетесь. Это не только операционисты, это ДБА, системные администраторы - разные, администраторы бэкапов, бизнеса разные, почтовые администраторы и т.д. И если вы думаете, что все они имеют доступ только к терминалам, и сохраняют данные только на vdi (к которым, между прочим имеют доступ еще много кто, кто не должен знать про данные ) - то вы сильно заблуждаетесь. Безопасность это идеальная модель, которая реализовывается только на бумаге в отчетах аудиторов.
Главное, что сотрудники должны быть лояльны банку и понимать, что наказание за злой умысел может быть суровым. Но большие банки - они большие. Людей там много, задачи у людей разные. И нехороший умысел очень трудно распознать. Во все головы заглянуть невозможно. И инструкции нарушают порой сознательно, поскольку ограничения по безопасности просто мешают в работе. Да, ловят. Наказывают. Иногда увольняют. Иногда даже уголовные дела заводят. Но если ты знаешь, что ловят и как - обмануть можно. Технические средства можно обмануть, если знаешь как они работают.
Я помнится ловил одну девушку, где-то в начале 2000-х, которая переписывалась со своим парнем, сисадмином. Я ей объяснял политику предприятия (не банка), а она хотела по своему. Парень ее подсовывал ей разные штучки, чтобы обходить мои защиты. Так я ее в песочницу засунул и мониторил, пока она у в наглую не начала брутфорсить пароль локального админа. Тут я не выдержал и сдал ее. Но на ее примере, пока несколько месяцев ее мониторил, я понял что самый сложный файл - текстовый. Он не проходит через анализатор сигнатур и пропускается любыми средствами защиты. Даже пришлось написать отдельный анализатор, который считал количество не ANSI символов в файле и найти эмпирические коэфициенты, чтобы определять содержит ли файл хоть какой-то нетекстовый код или скрипт. И одновременно, я прочитал почти теоретическую статью Сергея Гордейчика о том, что если у вашего предприятия есть выход в интернет, то рано или поздно утечка данных неизбежна. Я тогда очень гордился тем. что все браузеры предприятия перевел на Citrix и никто ничего не заметил. Тогда мне казалось, что он не прав. Сейчас я уверен в обратном.
А в банке "первой тройки" я видел не раз письма со списком карт и данных со словами "Вася, помоги, тут у этого клиента по этим картам зависшие авторизации". Вполне себе рабочие документы, несмотря на все аудиты и сертификаты.
PCI DSS - это тупо стандарт, причём перед Вами просто поставили вопрос соответствия стандарту и Вы эту проблему как могли решали. В целом, согласен с вашими тезисами про лояльность, много людей и т.д. Однако, отвечу что и банков - много, и системы - разные.
Где-то тот же PCI DSS - это гемморой и вопрос номинального соответствия, а где-то на него молятся. Решения работающие на массах существуют.
Например, операционист на своём рабочем месте никогда не видит все данные клиента. Он должен видеть только те данные которые ему нужны для работы сейчас. За дополнительными данными ему придётся перейти в другие вкладки, нажать кнопки. Все его действия логируются и могут быть впоследствии проанализированы: какого дня в какое время куда перешёл, что нажал, на что посмотрел. Поэтому даже ему разрешить фотографировать на рабочем месте - он заколебётся с отсъёмом данных даже одного клиента. А у него идёт поток и заниматься ерундой просто некогда. Кроме того, где-то краем сознания он помнит что что-то по этому поводу подписывал при приёме на работу. Вот вы же подписывали, тот же NDA? Там много документов возлагающих на сотрудника всю ответственность, причём постоянно появляются новые и обо всех из них помнить, физически одному человеку невозможно. Это сделано специально, банковская специфика.
Теперь что касается ДБА, сисадминов и прочих имеющих дело с БД. Для них данные представляют (должны представлять) собой "чёрный ящик". Данные выдаются в прод, а тем более проходят через 3-4 банковских контура - обезличены. И они не хранятся по принципу "всё в одной корзине", нет, они - разделены. Чувствительная информация зашифрована. Поэтому работа ДБА и сисадмина сводится к перемещению и обслуживанию "чёрных ящиков".
Разумеется, если специалист обладает достаточной компетенцией в смежных областях и хорошо знает действующие (весьма и весьма специфичные) банковские системы, он сможет собрать конструктор. Только таких специалистов которым хватит на это прав - десятка два, все они работают в банке не первый день и это первые люди которых будут трясти. Типовой архитектор в банке не отвечает за такой объём и не обладает такими правами, у него своя (может быть даже большая) "грядка" которую он окучивает, а остальные "грядки" он знает только по названиям и даже скорей всего не в курсе кто и как ими занимается. Чтобы окучить что-то выходящее за его зону ответственности ему придётся провести опрос коллег, почитать справочник и провести пару-тройку конференций - только тогда, он выйдет на человека в смежной зоне (которому лишняя работа сбоку тоже не нужна).
Это ещё один фактор который охраняет крупные банки: мелко порезанные права, жуткая иерархичность, огромные объёмы данных принципиально не уносимые на чём-то, запредельный консерватизм и "правая рука не знает, что делает левая". Это у пользователя винчестер на 4Т и он рад, а для банковской БД, это - тьфу. Можно уже по объёму сразу сказать что сие какая-то девелоперская обезличенная БД. Потому что в проде другими объёмами банчат. Никто не сможет продавать это на компакт-дисках в метро.
Письма с "Вася, помоги по этим картам" надо не смотреть, а сдавать, для этого в банках есть специальные e-mail, группы которые занимаются разбором таких инцидентов. Обычно такие инциденты появляются по глупости молодых менеджеров (да, такое же видел "не раз") и заканчиваются, как минимум, увольнением. Как человек занимавшийся PCI DSS вы должны знать какая политика работает даже если сотрудник просто решил зарядить смартфон от USB-порта установленного на его рабочем месте компьютера. Можно устроиться в банк и в тот же день уволиться просто попытавшись зарядить смартфон. Человеческий фактор никто не отменял, но злонамеренность инсайдеров - это уже другая история с которой банки умеют бороться и всё для этой борьбы у них сделано заранее.
Поэтому когда я пишу "невозможно чисто технически", имею ввиду не то что утечек не бывает - они бывают, а то что действующие политики делают это невозможным целыми БД. Все случаи когда начинали носиться с якобы утекшими -дцать миллионов записей оказывались при проверке фейком состоящим из обогащённых данных нескольких чужих баз. Вплоть до кала мамонта двадцатилетней давности.
Фактически, Вы написали, что технически слив определенных данных, по которым происходит обзвон, даже в весьма защищенных структурах - возможен. То, что я и написал в самом начале. Я Вам даже сейчас накидаю простейший сценарий. Сотрудник имеет доступ к данным клиентов. И может написать простейшую выборку на своем рабочем месте - номер телефона по которым были смс с суммой более 10000 руб. Не нужны фамилии или карты. Легко убрать из этого файла разделители и табуляторы. Получится текстовый файл из цифр. Если у этого сотрудника есть доступ к внешней почте - он пройдет через все анализаторы и защиты, ибо не содержит ничего осмысленного, это простой txt файл. И даже беглый взгляд на него не выявит ничего проблемного. В нем нет карточных, персональных данных, финансовых и т.п. Этот файл он может отправить по почте. Если сотрудник неглупый, то он не будет делать из файла прикрепление. Он вложит его в тело письма, и сделает так, чтобы при открытии письма эти данные были на 5-м экране. Ни одна система анализа ничего не найдет. При потоке писем в сотни тысяч в день, никто это письмо глазами не будет просматривать. М.б. чисто случайно. Но вероятность 0.01% Вот вам и обзвон.
БД SMS-гейта разумеется обезличена. Поэтому "простейшая выборка" даст только список телефонов клиентов банка, который ещё надо будет с чем-то сопоставлять. Сам SMS никто не сохраняет, на кой ляд хранить мусор? Движение средств никто не контролирует "по SMS". Сохраняется тип SMS, есть таблица типов в другой БД и сегменте, где разные коды выделены для оповещений, рекламы и т.д., редактируются в отдельных АРМ, причём права выдаются строго в рамках диапазона кодов. Типа "Вход в банк. Никому не сообщайте код NNNNNN. Если входили не вы позвоните на номер XXX.", здесь NNNNNN сгенерировано вызовом отдельной подсистемы, находящейся в другом контуре, в момент отправки. Триггер который запустил отправку этой SMS находится в четвёртой подсистеме, и это другие люди которые с телекомщиком никак не пересекаются и общих интересов не имеют. А сам SMS-гейт был написан пятыми людьми в одном из юр.лиц зареганных в Сколково. Так что у телекомщика есть кем-то написанное приложение и реквизиты для его настройки. Своё знание SQL он может засунуть куда подальше.
Так это притча во языцах - "доступ к внешней почте". Сотрудник имеет доступ в ограниченное кол-во сегментов, получает этот доступ по заявкам, сам факт попытки отправки из защищённого сегмента письма на любой внешний e-mail является инцидентом безопасности, независимо от его содержания, это просто запрещено. Есть ограниченное кол-во внешних доменов контрагентов на которые можно отправлять письма. Так что в ваш сценарий придётся добавить сообщника у одного из этих контрагентов. Сотрудник может переписываться только в пределах банковских доменов.
Конечно. Но это самоочевидно, именно поэтому отправка вовне запрещена. Пример из серии "нет возможности слить что-то из информационных систем, но нам же никто не запрещал тупо распечатать и подсунуть распечатку в дырку под забором". Поэтому банковская безопасность контролирует и печать тоже. Если не контролирует - это плохой банк, не надо там держать деньги.
Это Вы про ВТБ написали? Не уверен. В трех последних банках, где я работал шлюзы SMS были разные, но прикручены к решению одного и того же вендора. Простейшую выборку (при наличии прав) можно сделать по одной единственной таблице, и содержимое SMS в ней хранится. Типа "Зарплата 423200.75р Счет *4312 баланс 632700.00р" Понять, что владелец счета интересен в выборке - не сложно. Не нужно никаких клиентских данных для обзвона. Более того, даже если у вас нет доступа к базе, и вы админ в процессинге, то м.б. у вас есть доступ к логам шлюза? Даже к прошлогодним. Эти же SMS при настройке логирования прекрасно сохраняются в текстовых файлах. Такая возможность предусмотрена разработчиками всегда. То, что вы включаете флаг логирования можно легко объяснить решением какой-либо проблемы с SMS. А они бывают. И наконец.... Еще год- полтора назад в двух банках, про которые я знаю достоверно, SMS отправляли сообщения или POST запросом или по протоколу smpp. В обоих случаях на каналах не было туннелирования. Его сделали лишь год назад. И на сладкое. Если вы занимаетесь проблемами SMS - у вас есть доступ к личному кабинета провайдера. Это логин и пароль. Ничто не мешает зайти в этот кабинет из дома и скачать все, что нужно.
А про почту вы написали правильно. Доступа быть не должно, и он должен модерироваться. Но доступ есть, и всем немножко пофиг.
Других банков у меня для вас нет.
И эти решения написаны на Visual Basic и Turbo C 3.0 во время "оно". Да, к сожалению банковская сфера РФ поражена решениями этого отечественного вендора..
Ну это уже элементарно логируется и поднимается.
Не буду отрицать, да, это встречается в банках РФ.
Да какая, нафиг нбки, если я все свои счета вижу в кабинете налоговой? Когда первый раз это увидел - был очень доволен, что уже сидел на стуле.
В ЛК налоговой вы авторизуетесь через ЕИСА. Ни одного случая взлома ЕИСА за всё время его существования не зафиксировано, это достаточно надёжная система. А так, да - цифровой концлагерь. РФ одна из самых развитых в плане цифровизации страна на планете Земля, ЕС и США рядом не валялись.
А где хранятся данные, Лебовски? Чтобы получить данные из налоговой нужно думать как налоговая, а не взламывать ЕИСА.
Пф, круче нас разве что Китай может быть. В ЕС приезжаешь - как в прошлое вернулся.
Наоборот: денег подкопили и вместо красивых холеных девушек могут нанимать специалистов.
несколько дней подряд звонят с номера 1000 - типа втб, один раз взял трубу, выманивают данные о том каким способом я пользуюсь работая с втб - комп или мобильный банк... короче трубу бросил и хрен бы с ним. Следом звонит спамер и представляясь службой безопасностью втб и втирает за то, что со счёта втб через приложение банка во Владике снялись деньги. Я ему говорю: "вечер в хату" - он мне вы что неадекватный - говорю - ДА. С вашим акцентом, говорю, в ВТБ не берут, он на акценте обиделсо, в скриптах этого наверное нет:) после спросил его типа - кол центр ещё в Киеве, на этом он бросил трубу...какойто эмоциональный. Говор похож на кубанский. Короче у ВТБ протечка - 100%
Я у жены тоже в первую очередь про акцент спросил, мне так себе было слышно. Нет, говорит, чистый Русский. Она у меня по базовому образованию учитель начальных классов и англ языка, доверять можно. Хотя, конечно, чистота языка в этом случае ни о чем
Сегодня опять звонили с ВТБ. Ну и как обычно "4 минуты назад была заявка на кредит с онлайн приложения, если это были вы скажите да". Ну в общем я ответил "за**па хохляцкая" не дожидаясь сигнала и трубку сразу бросили)) Такое вот новое кодовое слово.
Да, мошенники как-то научились видеть факт переводов по сбп. Не всегда, но даже это настораживает.
Мне месяц названивал робот "
ВТБ" и сообщал, что "4 минуты назад с вашего аккаунта сформирована онлайн заявка на кредит". Всегда именно 4 минуты.Да наугад. Прост если угадают, это шокирует жертву и пол-дела сделано
Я алгоритм не очень далеко прошёл, извините)))
Видят там где приходит уведомление по смс. Дырки в протоколе окс7.
Скорее бэк-дор в смартфоне.
Неа. Смс при мне пару раз чужие читали, кто имел подключение к мобильному оператору по офшорной схеме. Тогда воспринималось как прикол, ведь кому нужны. "Вася я ночую у подруги суп на полу вытри"...
Тоже хреново
Хреново
Да ниче они не научились, обычный развод. Звонит бот с телефона, работающего на исходящий, основная задача получить ответ «да», «нет».
я тупо на устройстве включил функцию «заглушить неизвестные номера». Просто в пропущенных висят и все
К сожалению, есть неприятная корелляция между звонками и легальными действиями
А еще была "подозрительная попытка перевода 5200 рублей" , почти два месяца робот названивал.
Причем шел "по списку" - у нас в семье номера по порядку обзвон шел прям "поочередно".
Уже замучался в ч/с кидать номера и все от ВТБ, обычно заявка на смену финансового номера, хохлы никак не угомонятся.
Ставьте Касперского "Who Calls". Нормальный блокиратор спама и жуликов со своей постоянно пополняющейся базой. Даже знать не будете, что вам очередной ... звонил, если не посмотрите в журнал звонков. На 4PDA есть и pro версия. Основное ее отличие от бесплатной - скачивание базы в телефон и регулярное обновление, не выходит в базу в инете при звонке жулика, что позволяет быстрей определять. Иначе первый звонок от входящего может и проскочить. У яндекса есть такой же сервис
Таки стоит.
Задумался. И раньше с ВТБ были проблемы.
Только что супруге позвонили из "службы безопасности". Я как раз в магазин вышел, звонит в панике. Говорю ей,
заткнисьуспокойся, забей. Блин, полтора часа успокаивал. Вспомнил забытое слово секс.Вот так нас и используют.
Они в сговоре! :)))
Да ну, сволочи. Палец еле попадает по клаве.
Мне же не 20 лет. А жена думает, что всё ещё 20.
Но всё равно спасибо им. Не было бы счастья.
Раз на полтора часа хватило, Вы ещё ого-го! Двадцатилетние нервно курят в сторонке :))
Хватило минут на пять. Но всё равно. Да здравствуют мошенники, вгоняющие в панику наших жён, любимиц и самых красивых девушек во Вселенной :) :) :)
Супруге объяснил, что Сбер никогда не звонит по телефону, кроме как предложить кредит.
:))
Года полтора не пользовался ВТБ, на счету были небольшие деньги, про которые я успешно забыл. Недавно ВТБ напомнил смс-кой о них. Ну я взял и оплатил абонентку телефона. На следующий день начался просто шквал звонков от роботов : то по 6-7 звонков за пару минут, то один за одним с интервалом ровно в час. Трубу я не брал, все номера спамерские по финансовой части. ХЗ чего там у ВТБ происходит, но это точно ненормально...
Страницы